NFT-кредитний протокол Gondi виявив та виправив уразливість, яка призвела до витоку приблизно 78 NFT на суму близько $230 000 від кількох користувачів унаслідок помилкового оновлення смарт-контракту, розгорнутого 20 лютого 2026 року.
Команда тимчасово відключила вразливу функцію Sell & Repay, підтвердивши, що всі інші функції платформи залишаються безпечними, і активно працює над відшкодуванням постраждалим користувачам через прямі компенсації, відновлення активів та використання комісій протоколу.
Деталі уразливості та технічна причина
Вразливе оновлення контракту
Уразливість була пов’язана з новою версією контракту Sell & Repay Gondi, який є частиною платформи NFT-кредитування, що дозволяє позичальникам продавати ескроу-NFT та автоматично погашати позики у одному транзакції. Оновлений контракт був розгорнутий 20 лютого 2026 року.
Безпекова компанія Blockaid виявила, що у функції “Purchase Bundler” було допущено логічну помилку, яка не перевіряла належним чином, чи є виклик контракту законним власником або позичальником NFT, залученого у транзакцію. Це дозволило зловмиснику ініціювати несанкціоновані перекази та витягти активи у кількох користувачів.
Масштаб атаки
За даними Etherscan, було витягнуто близько 78 NFT у приблизно 40 транзакціях, які були переадресовані на гаманець, позначений як “GONDI Exploiter”. Вкрадені активи включають 44 токени Art Blocks, 10 Doodles, два NFT з колекції Beeple “Spring Collection” та інші цінні предмети з відомих колекцій.
Колекціонер NFT tinoch оцінив, що один постраждалий користувач втратив приблизно 55 ETH, що на момент спостереження становило близько $108 000. Загальна кількість жертв не була оприлюднена, хоча кілька гаманців були уражені.
Реакція платформи та заходи щодо виправлення
Негайні дії
Gondi швидко відключила уразливу функцію Sell & Repay після виявлення проблеми. Команда заявила, що функція залишається офлайн, поки не буде розгорнуто та перевірено виправлення. Всі інші функції платформи, включаючи купівлю, продаж, лістинг, ставки, торгівлю, рефінансування позик і відкриття нових позик, були підтверджені як цілком працездатні та безпечні для відновлення.
Протокол підкреслив, що NFT, пов’язані з активними позиками, ніколи не були під загрозою під час інциденту. Уразливість була обмежена конкретною функцією контракту, відповідальною за пакетні продажі та погашення, і не торкнулася інших частин ринку.
Огляд безпеки
Після атаки компанії Blockaid та незалежний аудитор провели повторний огляд протоколу. Gondi скасував попереднє попередження, яке закликало користувачів утриматися від взаємодії з платформою, підтвердивши, що загальний протокол не постраждав і всі дії безпечні для відновлення.
Зусилля щодо відшкодування користувачам
Пряме відшкодування
Gondi почала співпрацювати з постраждалими користувачами для відновлення втрачених активів або надання компенсацій у разі неможливості відновлення. Команда зв’язалася з гаманцями, які взаємодіяли з уразливим контрактом, щоб ініціювати процеси відшкодування.
У кількох випадках проект відстежив NFT, які були придбані покупцями, що, ймовірно, не знали, що токени походять із уразливості. Ці предмети повертаються їхнім оригінальним власникам, де це можливо.
Механізми компенсації
Протокол почав використовувати зібрані комісії платформи для купівлі “подібних предметів” з аналогічних колекцій, щоб компенсувати втрати постраждалих користувачів, коли ідентичні NFT не можна відновити. Команда заявила: “Хоча це не той самий предмет, ми вважаємо, що це справедливе та значуще рішення, і координуємо це безпосередньо з кожним власником.”
Для випадків з унікальними NFT, які важко замінити, Gondi веде активні переговори з постраждалими колекціонерами щодо пошуку альтернативних рішень.
Контекст платформи та профіль ризиків
Модель кредитування Gondi
Gondi працює як децентралізований, безкастодіальний маркетплейс ліквідності NFT та протокол кредитування. Користувачі можуть виставляти NFT як заставу для отримання позик, позичати активи для заробітку відсотків і рефінансувати свої позиції. Платформа дозволяє позичальникам отримувати ліквідність без необхідності продавати свої цифрові активи.
Функція Sell & Repay особливо ускладнює процес, оскільки вона об’єднує кілька дій у один транзакцій — продаж застави та погашення позики одночасно. Коли перевірка власності не спрацювала, зловмисники скористалися цією автоматизацією.
Ризики смарт-контрактів
Такі системи, як Gondi, вимагають складних смарт-контрактів, що координують управління заставою, видачу позик, погашення та передачу активів. Навіть незначні логічні помилки в цих контрактах можуть створити лазівки для зловмисників, підвищуючи ризик для платформ кредитування NFT, де оновлення контрактів змінюють перевірки власності активів або логіку авторизації транзакцій.
FAQ: Уразливість Gondi
Q: Що спричинило уразливість Gondi?
A: Уразливість виникла через помилкову логіку, внесену в оновлення контракту Sell & Repay 20 лютого. Функція “Purchase Bundler” неправильно перевіряла, чи є виклик законним власником або позичальником NFT, що дозволило зловмиснику ініціювати несанкціоновані перекази близько 78 NFT на суму $230 000.
Q: Скільки було втрачено і хто постраждав?
A: Було витягнуто близько 78 NFT у 40 транзакціях, включаючи активи з колекцій Art Blocks, Doodles і Beeple. Один користувач втратив приблизно 55 ETH, що становить $108 000. Загальна кількість жертв не розголошується, але кілька гаманців були уражені.
Q: Що робить Gondi для компенсації постраждалим?
A: Gondi безпосередньо відшкодовує постраждалих користувачів, повертає вкрадені NFT, знайдені у покупців, які не знали про їх походження, і використовує комісії протоколу для купівлі подібних предметів з аналогічних колекцій, коли ідентичні NFT відновити неможливо. Ведуться переговори щодо унікальних NFT.
Q: Чи безпечна платформа Gondi зараз?
A: Уразливу функцію Sell & Repay залишено вимкнено до виправлення, але всі інші функції платформи, включаючи купівлю, продаж, лістинг, ставки, торгівлю та позики, підтверджено як безпечні для відновлення. Компанії Blockaid та незалежний аудитор провели повторний огляд протоколу після атаки.
